V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
trepwq
V2EX  ›  问与答

电信替换自签名证书?目的是什么呢?

  •  
  •   trepwq · 2017-04-24 18:35:08 +08:00 · 3592 次点击
    这是一个创建于 2751 天前的主题,其中的信息可能已经有所发展或是发生改变。

    刚看新闻,有人在微博上爆出电信替换了自签名。
    http://static.cnbetacdn.com/article/2017/0424/c6b07e084995381.jpg
    “一位提供游戏网络加速服务的用户在微博上报告,中国电信悄悄替换了其自签名证书,“为何有的地区访问我的 HTTPS 网站,获得的证书并不是我签发的。 你们很聪明,只替换掉自签发的证书,因为自签发证书浏览器本来就有警告加上大部分信息都一样,神不知鬼不觉,用户很难发现自己的 HTTPS 访问被监听了,要不是我的软件对证书指纹有验证根本不会发现这问题 。”原证书是 RSA-2048 ,伪造的证书是 RSA-1024 。中国电信客服表示可以“协调处理”。 ”

    17 条回复    2017-04-26 17:40:17 +08:00
    gen900
        1
    gen900  
       2017-04-24 18:38:54 +08:00 via iPhone
    中间人攻击。这是专有名词不意味着一定有狭义的攻击发生,但是网络安全已经无从谈起了。

    监听,篡改,窃取……可以做的事多了去了
    tyfulcrum
        2
    tyfulcrum  
       2017-04-24 18:42:00 +08:00
    用自签名的网站不多吧,除了 12306 这种的还有比较大众的网站用么?
    zhihaofans
        3
    zhihaofans  
       2017-04-24 18:46:13 +08:00 via iPhone
    @tyfulcrum 我上次才在 V2EX 看到一个
    lyhiving
        4
    lyhiving  
       2017-04-24 18:50:03 +08:00 via Android
    业务需要,等不了了,赶紧上车
    akwIX
        5
    akwIX  
       2017-04-24 18:53:06 +08:00
    就算自签自用,也得自己先签个 CA 再来签发别的证书
    jasontse
        6
    jasontse  
       2017-04-24 18:54:58 +08:00 via iPad
    搞个大新闻。先观望
    ltux
        7
    ltux  
       2017-04-24 18:57:27 +08:00 via Android
    劫持,插广告。
    taineric
        8
    taineric  
       2017-04-24 20:00:04 +08:00 via Android
    既然都一样,这加密有什么意义
    mdzz
        9
    mdzz  
       2017-04-24 20:17:26 +08:00
    然而 RSA-1024 才是真证书
    ref: http://weibo.com/1219205751/F00TyA2ev
    jarell
        10
    jarell  
       2017-04-24 22:01:31 +08:00
    @akwIX 能不能签个限于某个域名的"低级别的 CA"呢
    wdlth
        11
    wdlth  
       2017-04-24 22:05:59 +08:00
    毕竟提供“网络加速”,电信也想看看“加速”的内容……
    roist
        12
    roist  
       2017-04-24 22:10:54 +08:00
    最近某被通缉的 郭姓巨富 在海外闹的风生水起,把我党弄得有鸡飞狗跳的架势,相关即得利益者欲杀之而不得,加强措施可以理解
    tzxun
        13
    tzxun  
       2017-04-24 23:30:35 +08:00
    虽说电信吃相难看,但是在生产环境使用自签名完全就是自废武功。在 SSL 证书日益便宜的现在,这种行为本身就是对用户极不负责的行为。
    ryh
        14
    ryh  
       2017-04-25 01:14:52 +08:00 via iPhone
    里面还有笨蛋在刷“哈哈哈假的比真的安全” 也是神逻辑 第三方随便中间人的 2048bits 证书怎么会比 1024 的服务器自签的安全
    davidyin
        15
    davidyin  
       2017-04-25 07:18:26 +08:00
    有个 CCA 记录好像就是可以防止这种的。
    davidyin
        16
    davidyin  
       2017-04-25 07:19:32 +08:00
    @davidyin 记错了,是 CAA
    Williamp
        17
    Williamp  
       2017-04-26 17:40:17 +08:00
    Off course, this decision is made by telecom for user's information security and trust to their website because browser gives the warning for self-signed certificate https://www.globalsign.com/en/ssl-information-center/dangers-self-signed-certificates/
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5533 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 08:23 · PVG 16:23 · LAX 00:23 · JFK 03:23
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.